Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
• Тх — метка времени, поставленная пользователем X.
• sigi4(M) — цифровая подпись сообщения М, созданная пользователем А.
Примечание 11.1. Следует отметить, что семантический смысл протокольных сообщений, связанный с их синтаксической структурой (типом), не обязательно должен быть понятным всем участникам протокола (например. Алисе). Как правило, если спецификация протокола не требует, чтобы Алиса выполняю криптографическую операцию над сообщением или частью сообщения, то Алиса (точнее, ее протокольный компилятор) понимает сообщение только на синтаксическом уровне. При этом Алиса может неверно понимать семантический смысл протокольного сообщения. Образцы неверной интерпретации сообщений приведены в примере 11.1.
Пример 11.1. На синтаксическом уровне Алиса может неверно интерпретировать смысл протокольных сообщений. Перечислим несколько примеров.
• Алиса может считать часть сообщения зашифрованным текстом и пытаться расшифровать ее, полагая, что владеет правильным ключом, или переслать Бобу, думая, что эта часть сообщения предназначена ему. Однако на самом деле эта часть сообщения может представлять собой имя пользователя (например, Алиса или Боб), одноразовое случайное число или метку времени.
• Алиса может расшифровать зашифрованный текст и послать результат, "следуя протокольным инструкциям", хотя на самом деле этот текст может представлять собой ее более раннее сообщение, возникшее, возможно, в другом контексте.
• Алиса может принять параметр ключа за одноразовое случайное число и т.г Может показаться, что Алиса очень "глупа" и не понимает протокольных!
сообщений. На самом деле это не так. Скорее, она слишком наивна и не всегда догадывается о существовании коварного Злоумышленника, который, возможно уже "перекомпилировал" протокол, перепутав фрагменты сообщений так, чтобы их невозможно было понять.
Примем следующие соглашения о поведении участников протокола, законных и незаконных.
• Подлинный пользователь, участвующий в протоколе, не понимает семан-1 тического смысла ни одного протокольного сообщения, пока протокол не завершится успешно.
Глава 11. Протоколы аутентификации — принципы
389
• Подлинный пользователь, участвующий в протоколе, не способен ни распознать, ни создать, ни разложить сообщение {М}к на составные части, не имея правильного ключа.
• Подлинный пользователь, участвующий в протоколе, не способен распознавать псевдослучайные числа, порядковые номера и криптографические ключи, если они не сгенерированы самим пользователем в рамках текущего сеанса или не являются результатом выполнения протокола.
• Подлинный пользователь, участвующий в протоколе, не записывает протокольные сообщения, если этого не требует спецификация протокола. Как правило, протокол аутентификации не имеет истории (stateless), т.е. пользователь не должен запоминать никакой информации о состоянии, возникшем после успешного выполнения протокола, за исключением информации, являющейся результатом выполнения протокола и предназначенной для самого пользователя.
• Злоумышленник, кроме возможностей, указанных в разделе 2.3, знает о "глупости" (а точнее, наивности) подлинных пользователей (см. пример 11.1) и всегда пытается использовать это обстоятельство.
Протоколы аутентификации предназначены для передачи сообщений по открытым каналам связи, предположительно пребывающим под контролем Злоумышленника, и должны препятствовать атакам противника, несмотря на "хитроумие" Злоумышленника и "глупость" подлинных пользователей.
Рассмотрим способы, которые позволяют достичь этой цели.
11.4 Основные методы аутентификации
Существует много методов реализации протоколов аутентификации (источника данных, сущности) и генерации аутентифицированных ключей. Однако основных протокольных конструкций, особенно удачных, не так много.
Начнем с основных протокольных конструкций, уделяя особое внимание конструкциям, принятым в качестве международных стандартов. Эти конструкции могут и должны использоваться при разработке новых протоколов аутентификации. Попробуем разобраться, почему некоторые из этих конструкций более привлекательны, а другие имеют недостатки.
Перечислим основные методы аутентификации, рассматриваемые в этом разделе.
• Стандартные механизмы определения "свежести" сообщения и существования пользователя (раздел 11.4.1).
• Взаимная аутентификация и односторонняя аутентификация (раздел 11.4.2).
• Аутентификация с привлечением доверенного посредника (раздел 11.4.3).
390 Часть IV. Аутентификации
3Система сертификации открытых ключей (public-key certification framework) описывается в гла-1 ве 13.
11.4.1 "Свежесть" сообщения и существование пользователя
Проверка "свежести" сообщения — неотъемлемая часть аутентификации ис-1 точника данных (различия между идентификацией и аутентификацией источника сообщения описаны в разделе 11.2.1), а также аутентификации сущностей, в процессе которой пользователь должен оживленно обмениваться информацией с подлинным партнером. Следовательно, механизмы, позволяющие установить "свежесть" сообщения или существование пользователя, относятся к основным компонентам протокола аутентификации.
